Uma falha de segurança que permitia que imagens editadas em telefones Pixel se tornassem parcialmente não editadas foi revelada pelos engenheiros reversos que a descobriram, Simon Aarons e David Buchanan.
Embora a falha já foi corrigida, capturas de tela editadas que foram compartilhadas antes da atualização ainda estão vulneráveis.
Chamada de”aCropalypse“, a falha possibilita que alguém desfaça e recupere parcialmente a edição de capturas de tela PNG usando a ferramenta de marcação integrada do Pixel.
Por exemplo, se alguém usou a ferramenta para rabiscar sobre ou cortar informações confidenciais, como endereços, número de cartão de crédito ou saldos bancários, um malfeitor pode explorar essa falha para reverter essas alterações e ver as informações que o remetente pensou que já havia ofuscado.
Aarons e Buchanan explicam:
Quando uma imagem é cortada usando Marcação, ela salva a versão editada no mesmo local de arquivo do original. No entanto, não apaga o arquivo original antes de gravar o novo. Se o novo arquivo for menor, a parte final do arquivo original é deixada para trás, após o término do novo arquivo.
Você pode ver como essa falha funciona acessando esta página de demonstração e fazer upload de uma captura de tela que foi editada com a versão não atualizada da ferramenta de marcação.
De acordo com Buchanan , essa falha começou há cerca de cinco anos, quando o Google introduziu o Markup com o Android 9 Pie.
E embora a falha tenha sido corrigida, ainda há anos de imagens vulneráveis flutuando.
A falha foi corrigida pelo Google em uma atualização de segurança de março para o Pixel 4A, 5A, 7 e 7 Pro com sua gravidade classificada como”alta”. No entanto, o Google não disse se esta atualização chegará para outros dispositivos.
Os usuários do Pixel estão compreensivelmente preocupados e uma página de perguntas frequentes está em andamento. Atualizaremos este artigo com o link assim que for publicado.
Fonte: Simon Aarons, David Buchanan via 9to5 Google, The Verge